Comments 25
UFO just landed and posted this here
Пишите уж «две старых уязвимости».
+6
Всего две?
+1
непонятно, при чем тут internet explorer и почему уязвимости «новые» если их закрыли, а первая так и вовсе была обнаружена год назад
* кстати, хорошо, что вторая никак не влияет на vista и windows 2008. хороший знак и повод переходить на современные версии ОС
* кстати, хорошо, что вторая никак не влияет на vista и windows 2008. хороший знак и повод переходить на современные версии ОС
+1
Второй способ ликвидации ошибки может показаться странным и бестолковым, ибо ликвидируются не ошибка, а доступ к ней. И примеров использования такого метода закрытия ошибки навалом в различных программных продуктах. Я сам раньше думал, что это — самый неправильный способ решения проблемы. Но понял, что на практике, при разработке коммерческого ПО, этот способ является самым дешёвым и экономически эффективным. Так что не стоит упрекать Майкрософт.
0
В случае с kill bits проблема в том, что уязвимый элемент управления всё ещё может использоваться другими программами, и в каждом конкретном случае необходимо выяснить, может ли правильно подобранный пользовательский ввод привести к уязвимости или нет.
+1
В смысле пользователь сам смоделирует эту багу или запустит программу, которая это сделает? Я бы уже не назвал данную проблему критической. Дырка в безопасности, как я понимаю, закрыта. Злоумышленник не сможет воспользоваться дыркой незаметно.
А вот закрытие баги в софте смысла вообще не имеет, если это — нештатный режим работы программы. Чисто выброшенные силы и деньги в виде зарплаты программистов.
А вот закрытие баги в софте смысла вообще не имеет, если это — нештатный режим работы программы. Чисто выброшенные силы и деньги в виде зарплаты программистов.
-1
Если пользователь запустит (например) Windows Media Player, который тоже использует этот элемент управления и передаёт ему теги из проигрываемого видео в те же самые свойства, что и в эксплоите для IE. Тогда злоумышленнику остаётся просто вписать в теги видео «правильные» данные и предложить пользователю на веб-странице посмотреть видео (когда пользователь кликнет на ссылку, видео скачается, а дальше пользователь откроет его в видеопроигрывателе, которым может оказаться и Windows Media Player).
В качестве Windows Media Player может выступать любая другая программа.
В качестве Windows Media Player может выступать любая другая программа.
+1
в смысле, что, судя по описанию, бит аннулирования установлен только для Internet Explorer. для остальных приложений использующих ActiveX (коих тысячи, в том числе и от сторонних разработчиков) уязвимость все еще актуальна.
+1
Если пользователь добровольно запускает софт злоумышленника, то есть и более эффективные способы использовать систему. Для этого ActiveX вовсе не нужен. Единственное, что я не предусмотрел — проигрывание видео (см предыдущий комментарий).
-2
UFO just landed and posted this here
Мужики 7-рку писали, не до патчей было.
+8
КАТ?
-2
отличный браузер! движек просто прекрасный, а кодить под него — одно удовольствие! безопасность на высоте, и юзабилити!
+7
> Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
В обоих случаях.
В обоих случаях.
0
Sign up to leave a comment.
2 новых уязвимости в Internet Explorer